KMS – was ist möglich, was nicht?

Themen rund um den KMS-Host werfen zumeist noch einige Fragen auf – daher möchte ich an dieser Stelle noch einmal zusammenfassend ein paar von diesen beantworten.

Kann ich sowohl MAK als auch KMS-Schlüssel zur Bereitstellung in meiner Organisation verwenden?

Antwort: Ja, Volumenlizenzkunden können KMS, MAK oder beides verwenden, um ihre Computer zu aktivieren.

Quelle: Microsoft Licensing – Grundlagen der Lizenzierung

Woher weiß ich, welche Product Keys verwendet werden müssen?

Antwort: Product Keys sowohl für KMS und MAK sind für Product Key-Gruppen (d. h. Windows 7 und Windows Server 2008 R2) gültig und nicht für einzelne Betriebssystemeditionen (d. h. Windows 7 Enterprise, Windows 7 Professional, Windows Server 2008 Enterprise oder Windows Server 2008 Standard).

Es sind nur jeweils ein MAK- und ein KMS-Key mit der Windows Client-Produktgruppe verknüpft. Es gibt drei Product Key-Gruppen für Windows Server 2008 und Windows Server 2008 R2:

• Windows Web Server 2008/ Windows Server 2008 HPC Edition (MAK/KMS A)
• Windows Server 2008 Standard/ Windows Server 2008 Enterprise (MAK/KMS B)
• Windows Server 2008 Datacenter/Windows Server 2008 für Itanium-basierte Systeme (MAK/KMS C)

MAK-Product Keys sind direkt mit einer einzelnen Product Key-Gruppe verknüpft und können nur die Windows-Editionen innerhalb dieser spezifischen Produktgruppe aktivieren. Wenn z. B. Lizenzen für Windows Server 2008 Enterprise gekauft werden, muss der MAK verwendet werden, der mit Windows Server 2008 Enterprise (MAK B-Key) verwendet werden, um diese Systeme zu aktivieren. Ein MAK für Windows Server 2008 Datacenter (MAK C-Key) funktioniert nicht. Und ein MAK für Windows 7 funktioniert nicht für Windows Vista.

KMS-Keys funktionieren anders als MAK-Keys, da es hier eine Hierarchie gibt. Wenn Sie z. B. Lizenzen für Windows Server 2008 Datacenter R2 und für Standard-Editionen besitzen, sollten Sie den KMS-Key verwenden, der mit dem Datacenter-Produkt verknüpft ist (KMS C-Key), um den KMS-Host zu aktivieren. Der KMS-Dienst kann dann die Computer aktivieren, auf denen Windows Server 2008 Datacenter R2 und die Computer, auf denen Windows Server 2008 Standard R2 installiert ist.

Quelle: Microsoft Licensing – Grundlagen der Lizenzierung

Welches Aktivierungsverfahren sollte für virtuelle Computer verwendet werden?

Antwort: Für die Aktivierung virtueller Computer können sowohl MAK- als auch KMS-Keys verwendet werden. KMS ist jedoch das bevorzugte Verfahren, wenn es in Ihrer Umgebung implementiert werden kann. Jedes Mal, wenn ein Computer mittels eines MAK-Keys aktiviert wird, wird eine Aktivierung von der verfügbaren Anzahl abgezogen. Dies gilt sowohl für physische als auch für virtuelle Computer.

Quelle: Microsoft Licensing – Grundlagen der Lizenzierung

Der Hostcomputer meines Unternehmens wurde mittels eines Windows Server 2008 KMS-Keys aktiviert. Kann derselbe Computer als Host für die Bereitstellung von Windows Server 2008 R2 verwendet werden?

Antwort: Vorhandene KMS-Hosts, auf denen Windows Server 2003, Windows Server 2008 oder Windows Vista installiert ist, benötigen ein Update, um die Aktivierung von Windows 7/Windows Server 2008 R2-Systemen zu unterstützen. Das entsprechende Update wird über Windows Server Update Services (WSUS), das Microsoft Download Center und die TechNet-Seite für die Volumenaktivierung verfügbar sein. Nach der Installation des Updates können Sie den Windows Server 2008 R2 KMS-Key auf dem Host installieren und aktivieren.

Quelle: Microsoft Licensing – Grundlagen der Lizenzierung

Was passiert, wenn wir unsere Computer nicht aktivieren?

Antwort: Die Aktivierung soll Benutzern eine transparente Aktivierung ermöglichen. Wenn die Aktivierung nicht während der Karenzzeit (in der Regel 30 Tage) erfolgt ist wird der Computer in den Benachrichtigungsmodus versetzt. In diesem Modus werden dem Benutzer während der Anmeldung und im Wartungscenter Aktivierungserinnerungen angezeigt. Außerdem ist der Desktophintergrund in diesem Modus schwarz.

Quelle: Microsoft Licensing – Grundlagen der Lizenzierung

Kann ich den KMS-Host auf einem Domain controller installieren?

Antwort: prinzipiell ja! Laut einer Case Study der Microsoft IT, beeinträchtigt diese Funktionalität nicht die Performance eines Domain controllers. Jedoch sollte man immer bedenken, dass man sich so gewisse Abhängigkeiten schafft – Stichwort: Single point of failure.

One of Microsoft IT’s goals was to measure the impact of adding the KMS service to a domain controller. It collected metrics from the domain controller acting as a KMS host and from other domain controllers in the same domain. When Microsoft IT compared the metrics of the KMS host that was installed on a domain controller with the metrics of other domain controllers in the same domain, it found no measurable performance decrease on the domain controller that was also a KMS host. Microsoft IT concluded that adding the KMS service to a domain controller did not hinder its performance.

Quelle: Microsoft Licensing – Case Study Microsoft IT

Erhöht KMS die Serverlast?

Antwort: Natürlich. Die Frage sollte stattdessen heißen “Erhöht KMS die Serverlast so, dass meine Applikationen und Funktionalitäten darunter leiden? In einer Case Study der Microsoft IT, wurden mehrere Testszenarien durchgeführt. Ergebnis war, dass durch das regelmäßige anfragen (jede Minute) eines KMS-Clients die Performance negativ beeinflusst wird. Daraufhin wurde dieses Interval von “einmal pro Minute” auf einmal pro Woche” angehoben.

Initially, performance metrics indicated that the activations were placing stress on the processor of the KMS hosts. CPU usage kept spiking at 100 percent, even though the number of KMS clients was small. Upon investigation, Microsoft IT found that the KMS clients were renewing their activations too often. It increased the activation renewal interval from once every minute to once every seven days. As the deployment progressed through subsequent phases, Microsoft IT found that reducing this interval was a simple way to stress test KMS hosts.

Quelle: Microsoft Licensing – Case Study Microsoft IT

Links:

Windows Server 2008 R2: Key Management Service (KMS) Teil 1 – wieso, weshalb, warum?
Windows Server 2008 R2: Key Management Service (KMS) Teil 2 – wie konfiguriere ich einen KMS-Host im Unternehmen?
Windows Server 2008 R2: Key Management Service (KMS) Teil 3 – wie ändere ich einen MAK- in einen KMS-Client?

Microsoft:
Grundlagen der Lizenzierung
Case Study Microsoft IT – KMS

Thomas Gronenwald

Client mit KMS-Key aktiviert – hab ich jetzt ein Problem? – nein.

Nach der Implementierung einer KMS-Lösung im Unternehmen (Teil1 und Teil2), steht man zumeist vor dem Problem, dass einige Clients über eine MAK-Lizenz aktiviert wurden sind. Jetzt möchte man natürlich alle Clients über die neue KMS-Lösung aktivieren. Dazu müssen die Clients noch einmal mit einem sogenannten Setup-Key initialisiert werden.

Hierzu müssen nun die MAK-Clients umgestellt werden:

Initialisieren des Setup-Keys auf dem Client:

slmgr.vbs /ipk <Setup-Key>

Aktivieren des Setup-Keys auf dem Client:

slmgr.vbs /ato

Danach sollten sich die Clients automatisch über den SRV-Record beim zuständigen KMS-Host melden und sich aktivieren.

Hinweis: Die KMS-Setup-Keys sind öffentlich bekannt und abhängig von der jeweiligen Edition – es besteht also kein Lizenzverstoß!

Weitere Setup-Keys (Windows Vista und 2008 Server) findet ihr hier.

Thomas Gronenwald

So geht’s:

Wie in meinem letzten Blog-Eintrag bereits beschrieben, gibt es seit Windows Vista, Windows 7 und Windows Server 2008 / R2 eine neue Methode zur Produktaktivierung. Das gute daran ist, dass jeweils nur noch ein Datenträger existiert und benötigt wird (32- oder 64-bit). Durch die Eingabe des Produktschlüssels wird dann nach der Installation festgelegt um welche Lizenz es sich handelt.

Was muss ich aber nun beachten? Welche Vorraussetzungen gibt es?

• Windows Server 2008 R2 KMS-Hosts (kann auch Windows Vista (KMS v1.2, KB968915) Windows Server 2003 (KMS v1.2, KB968915) oder 2008 sein)
• gültigen KMS-Schlüssel
• Software License Manager (slmgr.vbs unter C:\Windows\System32)
• KMS-Host benötigt zur Einmalaktivierung eine Internetverbindung (Port 80, TCP) / optional ist auch eine telefonische Aktivierung möglich
• Kommnikation zwischen KMS-Host und KMS-Clients über Port 1688, TCP

Wichtiger Hinweis:
Bitte keine KMS-Schlüssel auf einzelnen Client-Systemen installieren. Für die Aktivierung von Clients außerhalb einer KMS-Infrastruktur bitte die dafür vorgesehenden MAK-Schlüssel nutzen. Jeder KMS-Schlüssel kann im Normalfall nur auf weiteren sechs KMS-Hosts (KMS-Server) aktiviert werden.

Unter Windows 7 und Windows Server 2008 erhält man dazu einen Warnhinweis:

In der Regel sollte man einen KMS-Schlüssel der höchsten Kategorie (Server Group C) auf dem KMS-Host aktivieren. Wichtig an dieser Stelle ist, dass der Windows Server 2008 R2 KMS-Schlüssel für die Aktivierung des KMS-Hosts genutzt wird – dieser wiederum ermöglicht die Aktivierung von Windows Server 2008, Windows 7 und Windows Vista. Es muss daher nicht! für jedes Produkt das aktiviert werden soll ein KMS-Key installiert werden.

Windows Server 2008 und Windows Vista KMS-Schlüssel können Windows 7 oder Windows Server 2008 R2 nicht aktivieren.

Wir konfiguriere ich nun einen KMS-Host im internen Netzwerk?

1. Installieren des KMS-Schlüssels auf dem KMS-Host (Server) über die Kommandozeile:
   cscript C:\windows\system32\slmgr.vbs /ipk <KMS-Schlüssel>

Die Eingabe des KMS-Schlüssels muss mit erhöhten Administratorberechtigungen vorgenommen werden.

1. Aktivieren des KMS-Hosts bei Microsoft.
   1. Für die Onlineaktivierung über die Kommandozeile:
      cscript C:\windows\system32\slmgr.vbs /ato

   

   1. Für die telefonische Aktivierung über die Kommandozeile:
      slui.exe 4
2. Neustart des Softwarelizenzierungsdienstes nach Abschluss der Aktivierung über services.msc.

Durch die Aktivierung des KMS-Schlüssel wird automatisch ein DNS-Eintrag für den KMS-Server angelegt. Hierüber erhalten die KMS-Clients dann ihre benötigten Informationen über den KMS-Host im Netzwerk.

Wenn der KMS-Host richtig konfiguriert ist, erkennt man es daran, dass die Anzahl der KMS-Clients ansteigt. Mittels slmgr.vbs /dli, kann die aktuelle Anzahl abgerufen werden. Ausserdem kann auch das Protokoll des Schlüsselverwaltungsdiensts im Ordner Anwendungs- und Dienstprotokolle auf Ereignisse mit der Nummer 12290 überprüft werden, mit denen Aktivierungsanforderungen von KMS-Clients aufgezeichnet werden. Bei jedem Ereignis werden der Name des Computers und der Zeitstempel der Aktivierungsanforderung angezeigt.

Zudem sollte noch die Erreichbarkeit des KMS-Host über den automatisch angelegten SRV-Record geprüft werden:
nslookup -type=srv _vlmcs._tcp.<your DNS domain>

Übrigens kann für die Lokalisierung des KMS-Host auch ein BIND 9.x kompatibler DNS-Server genutzt werden.

Für KMS ist eine Mindestanzahl (Aktivierungsschwellenwert) von (physikalischen oder virtuellen) Computern in einer Netzwerkumgebung erforderlich. Für die Aktivierung von Windows Server 2008 R2 müssen in der Organisation mindestens fünf Computer vorhanden sein, für die Aktivierung von Windows 7-Clients mindestens 25. Daher kann es zu fehlern bei der Aktivierung kommen, solange der Schwellenwert nicht erreicht wurde.

Coming soon:
Windows Server 2008 R2: Key Management Service (KMS) Teil 3 – wie ändere ich einen MAK- in einen KMS-Client?
Windows Server 2008 R2: Key Management Service (KMS) Teil 4 – FAQ?

Thomas Gronenwald

Wieso, weshalb und warum ich einen Key Management Service brauche?

Die Produktaktivierung ist der gängige Prozess für die Validierung eingesetzter Betriebssysteme gegenüber Microsoft. Die Volumenaktivierung unterstützt Administratoren unter anderem bei der Automatisierung von Produktaktivierungen bei Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2.

Die Volumenaktivierung unterscheidet dabei zwei Aktivierungsmodelle:

• Key Management Service (KMS)
• Multiple Activation Key (MAK)

KMS erlaubt es dabei die innerhalb des Unternehmens eingesetzten Betriebssysteme über einen so genannten KMS-Host automatisch im eigenen Netzwerk zu aktivieren. Dagegen arbeitet MAK auf Basis von Einmalaktivierungen. Hierbei können folgende Methoden der Aktivierung genutzt werden:

• telefonische Aktivierung
• Aktivierung über das Internet

Der wesentliche Vorteil von KMS ist jedoch, dass sich die Betriebssysteme gegenüber dem innerhalb des Netzwerkes zur Verfügung gestellten KMS-Host eigenständig aktivieren. Dieser KMS-Host wird im Vorfeld mit den eigentlichen Volumenaktivierungsproduktschlüsseln gegenüber Microsoft aktiviert. Hierdurch müssen keine Volumenaktivierungsschlüssel mehr an Systemerrichter herausgegeben werden – so soll unter anderem das weitergeben und verteilen von Produktschlüsseln an Dritte eingeschränkt werden.

Weiterhin können natürlich auch noch MAK-Schlüssel verwendet werden – dies beschränkt sich in der Regel jedoch auf Systeme die keine direkte Verbindung in das Corporate-Netzwerk (keine Verbindung zum KMS-Host) haben oder innerhalb von High-Security-Netzwerken betrieben werden.

Quelle: Microsoft Technet Volume Activation

Mit dem Umstieg auf Windows Server 2008 R2 und Windows 7 sollte die KMS-Host-Methode die präferierte Lösung für Unternehmen sein. Zu erwähnen sei an dieser Stelle noch, dass der KMS-Host einen gewissen KMS-Aktivierungsschwellenwert bei der Aktivierung von Systemen voraussetzt. Das heißt, dass die Anzahl an benötigten Aktivierungsanfragen an den KMS-Host erreicht werden muss, damit eine Aktivierung durchgeführt werden kann. KMS-Clients werden daher erst aktiviert, wenn der entsprechende Aktivierungsschwellenwert erreicht ist. Übrigens kann der KMS-Host sowohl physische als auch virtuelle Systeme aktivieren.

Folgende KMS-Aktivierungsschwellenwert sind zu beachten:

• Windows Vista: 25 Systeme
• Windows 7: 25 Systeme
• Windows 2008 R2: 5 Systeme

Hinweis:
Im Zuge der Implementierung eines KMS-Hosts im Netzwerk wird für diesen ein DNS-SRV-Record (_vlmcs._tcp) konfiguriert. Hierdurch erhalten die Clients die benötigten Informationen über den zu nutzenden KMS-Host im Netzwerk. Mehr dazu aber im 2. Teil – wie konfiguriere ich einen KMS-Host im Unternehmen?

Thomas Gronenwald

Links:
Windows-Volumenaktivierung
Volume Activation Planning Guide
Volume Activation Deployment Guide
Volume Activation Operations Guide
Volume Activation Technical Reference Guide